记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华亚马逊前工程师因 2019 年 Capital One 网络攻击事件而被定罪
一名前亚马逊网络服务(AWS)工程师因入侵客户的云存储系统并窃取跟2019年Capital One大规模违规事件有关的数据而被认定有罪。美国西雅图地区法院周五判定Paige Thompson犯有七项计算机和电信欺诈罪,这将使其最高可被判处20年的监禁。
Thompson在网上的名字是Erratic,他因在2019年7月实施Capital One黑客攻击而被捕。该漏洞是有史以来最大的漏洞之一,其曝光了美国和加拿大超过1亿人的姓名、出生日期、社保号码、电子邮件地址和电话号码。此后,Capital One因涉嫌未能确保用户数据安全而被罚款8000万美元并跟受影响的客户达成了1.9亿美元的和解。
俄对乌克兰展开新一轮恶意软件攻击
Hackernews 编译,转载请注明出处:
网络安全公司ESET 和Broadcom的Symantec表示,他们发现了一种新的数据雨刷恶意软件,用于对乌克兰数百台电脑的新一轮攻击。俄罗斯军队正式对乌克兰展开全面军事行动。
这家斯洛伐克公司将这款雨刷命名为”HermeticWiper” (又名 KillDisk.NCV) ,其中一个恶意软件样本编写于2021年12月28日,这意味着攻击的准备工作可能已经进行了近两个月。
ESET 在一系列推文中说: “雨刷二进制文件是使用Hermetica 数字有限公司签发的代码签名证书签名的。
美运营商对短信路由方式做出安全调整
根据帮助短信路由的通信公司Aerialink的公告,美国所有的主要运营商都对短信的路由方式进行了重大改变,以防止黑客能够轻易地对目标短信进行改道。此举是在Motherboard网站调查后发生的。
该调查发现一个黑客,以最小的努力,支付16美元,就可以重新路由短信,然后使用这种能力,闯入一些在线帐户,包括Postmates,WhatsApp和Bumble,暴露了美国电信基础设施存在的一个缺陷。
3月25日来Aerialink公告表示,无线运营商将不再支持在各自的无线号码上启用短信或彩信文本,这一变化是全行业的,影响到移动生态系统中的所有短信提供商。
Android 间谍软件伪装成系统更新
安全研究人员表示,一种强大的新型Android恶意软件伪装成关键的系统更新,可以完全控制受害者的设备,并窃取他们的数据。该恶意软件被发现捆绑在一个名为 “系统更新 “的应用中,必须在Android设备的应用商店Google Play之外安装。
一旦用户安装后,该应用就会隐藏并隐秘地将受害者设备中的数据发送到的自己控制的服务器。发现该恶意应用的移动安全公司Zimperium的研究人员表示,一旦受害者安装了该恶意应用,该恶意软件就会与运营商的Firebase服务器进行通信,用于远程控制设备。
微软分享 Exchange Server 攻击背后的破坏活动情报
许多企业内部的Exchange服务器正在忙着打补丁,但微软警告说,调查发现,在已经被入侵的系统上潜伏着多种威胁。攻击者惯常使用Web Shell脚本来获得服务器上的持久权限,或者攻击者在早期的攻击中就已经窃取了凭证。微软在3月2日发布了Exchange内部系统的补丁。四个Exchange错误已经受到了一个名为Hafnium的国家支持的黑客组织的攻击。
微软本周早些时候表示,已经检测到92%的脆弱的Exchange服务器已经打了补丁或采取了缓解措施。然而,网络安全公司F-Secure表示,已经有 “数万台”Exchange服务器被入侵。
37 多万台 Exchange 服务器已部署补丁
本月对于 IT 管理员来说是非常忙碌的,因为他们不得不尽快对内部的 Exchange Server 实例部署补丁。不过在政府的高度重视、微软的积极引导下,现在情况有所好转。微软今天宣布,92% 易受攻击的 Exchange IP 均已部署补丁或者得到缓解。
微软安全响应中心(MSRC)今天发布推文,表示 Exchange Server 实例被修复的势头强劲。在推文中写道:“我们的工作仍在继续,但是我们看到内部 Exchange 服务器更新的强劲势头。全球92%的 Exchange IP 已经打上补丁或得到缓解。上周全球范围改善了 43%” 。
71% 的 Office 365 用户遭恶意账户接管
网络检测和响应公司Vectra AI的最新研究显示,由于COVID-19,88%的公司已经加快了云和数字化转型项目。但它还发现,71%的Office 365用户遭遇恶意账户接管。
令人担忧的是,只有三分之一的安全专业人员认为他们可以立即识别和阻止账户接管攻击,大多数人预计需要几天甚至几周的时间来拦截这种违规行为。Vectra公司CTO团队技术总监Tim Wade说:”我们经常看到基于身份的攻击被用来绕过传统外围防御,如多因素认证(MFA)。帐户接管正在取代网络钓鱼成为最常见的攻击载体,而MFA防御系统现在已经变成减速带,而无法阻止攻击。
微软或从美国网络安全资金中获 1.5 多亿美元拨款
北京时间3月16日早间消息,据报道,消息人士称,微软将从美国政府获得1.5亿美元的网络安全资金,这占了美国新冠救助资金中用于网络安全防卫的近四分之一。然而,一些立法者对此感到不满,他们并不希望美国政府为这家软件公司提供资金。黑客攻击对国家安全构成重大威胁,这令美国立法者深感挫折,因此美国国会在周四签署的新冠救助法案中配置了网络安全方面的援助资金。
俄勒冈州参议员罗恩·怀登(Ron Wyden)是国会情报委员会的主要民主党人,他说:“微软长期忽视软件设计方面的缺陷,造成了重大漏洞,并被黑客所利用。如果解决这一问题的唯一办法是给微软更多的钱,那么政府需要重新评估对这家公司的依赖。
10 余个 APT 黑客组织攻击微软 Exchange 服务器
3 月 2 日,微软面向 Microsoft Exchange Server 2013, 2016 和 2019 紧急发布带外(Out of Band)安全更新,修复了一个预认证的远程代码执行(RCE)漏洞链(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065)。
黑客可以利用这些漏洞在不知道有效账户凭证的情况下接管任意可访问的 Exchange 服务器。截止发稿为止,目前有超过 5000 台右键服务器检测到了 webshells,超过 6 万个客户受到影响,而欧洲银行业管理局等多个重要机构遭到攻击。
报道称 SolarWinds 黑客或已入侵 NASA 和 FAA 网络
据《华盛顿邮报》周二报道,SolarWinds黑客或已入侵美国宇航局(NASA)和美国联邦航空管理局(FAA)的网络,这是针对美国政府机构和私营公司的更广泛的间谍活动的一部分。这是在参议院情报委员会举行听证会前几个小时发生的,该委员会的任务是调查这次广泛的网络攻击。美国政府此前表示,这次攻击“很可能源自俄罗斯”。
NASA发言人没有对该报道提出异议,但以 “正在进行的调查”为由拒绝发表评论。FAA的发言人没有回应置评请求。
据悉,NASA和FAA是被证实受到攻击的9个政府机构中剩下的两个未命名的机构。
Sysrv-hello 僵尸网络集木马、后门、蠕虫于一身,攻击 Linux、Windows 主机挖矿
一、概述
腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿,同时下载mysql、Tomcat弱口令爆破工具,Weblogic远程代码执行漏洞(CVE-2020-14882)攻击工具进行横向扩散。其攻击目标同时覆盖Linux和Windows操作系统。
Sysrv-hello僵尸网络挖矿前,恶意脚本还会尝试结束占用系统资源较多的进程,以独占系统资源,这一行为可能造成企业正常业务中断。
美调查机构发联合声明:SolarWinds 网络攻击可能源自俄罗斯
据外媒报道,美FBI、NSA、网络安全与基础设施安全局(CISA)和国家情报总监办公室(ODNI)于当地时间周二发表联合声明称,SolarWinds的黑客行为“可能来自俄罗斯”。这是这四家机构首次将网络攻击归咎于俄罗斯。
声明称:“这项研究表明,一个高级持续性威胁(APT)行为者可能来自俄罗斯,其对最近发现的大部分或全部政府和非政府网络正在进行的网络攻击负有责任。目前,我们认为,这是一项情报收集工作,而且将继续如此。”
美国务卿迈克·蓬佩奥上月曾在接受新闻采访时表示,SolarWinds袭击很可能来自俄罗斯,但直到现在都还没有做出正式声明。
CISA 敦促美国政府机构更新 SolarWinds Orion
美国网络安全和基础设施安全局(CISA)已官方发布声明,督促美国联邦机构在年底之前更新SolarWinds Orion。
CISA发布的《紧急指令21-01补充指南》表示,所有运行SolarWinds Orion应用程序的美国政府机构都必须在年底之前将其更新为2020.2.1HF2最新版本。
SolarWinds在12月15日发布了2020.2.1HF2版本,以确保其安装安全并从其系统中删除与Sunburst相关的代码。《紧急指令21-01补充指南》于在发现SolarWinds供应链攻击后的12月18日发布。
5G 网络新漏洞使黑客可跟踪用户位置并窃取数据
随着5G网络的逐渐推广,许多潜在缺陷可被黑客利用以进行一系列网络攻击活动,包括使用户无法访问网络并拦截数据的DoS攻击等。
这些发现构成了伦敦网络安全公司Positive Technologies于6月发布的“ 2020年LTE和5G网络漏洞报告”中的“ 5G独立核心安全研究”的基础。
该公司表示:“网络安全的关键要素包括设备的正确配置以及网络要素的认证和授权。在缺少这些元素的情况下,利用PFCP中的漏洞,网络变得容易受到黑客攻击,还可能导致黑客在用户不知情的情况下利用用户身份进行网络犯罪。
荷兰警方接受安全研究人员称曾“入侵”特朗普 Twitter 账号的说法
据英国广播公司(BBC)报道,荷兰检察官发现,一名黑客确实通过猜测美国唐纳德·特朗普的密码–“MAGA2020!”,成功登录了他的Twitter账号。但荷兰检察官表示不会惩罚黑客Victor Gevers,因他的行为是“道德”的。
Gevers在10月22日美国总统大选的最后阶段分享了他所说的特朗普先生账户内部的截图。但当时,白宫否认特朗普的Twitter账号被黑客攻击,而Twitter也表示没有证据。
在提到最新进展时,Twitter表示:“我们没有看到任何证据来证实这一说法,包括从今天荷兰发表的文章中。
Facebook 将让英国用户接受加州用户协议 以摆脱欧洲隐私法规的影响
据路透社报道,Facebook公司将让其在英国的所有用户接受加州的用户协议,使他们脱离目前与Facebook爱尔兰部门的关系,并摆脱欧洲隐私法的影响。这一变化在明年生效,此前谷歌在2月份也在此宣布了类似的举措。对于这些公司和其他欧洲总部在都柏林的公司来说,英国脱欧将改变其与仍在欧盟的爱尔兰的法律关系。
最初,知情人士向路透社透露了这一举措。Facebook随后证实了这一点。
“与其他公司一样,Facebook也不得不做出改变以应对英国脱欧,将把英国用户的法律责任和义务从Facebook爱尔兰转移到Facebook公司。
Twitter 现已支持启用了硬件安全密钥的账户在移动设备上登陆
早在 2018 年,这家社交媒体巨头就已经提供了对于硬件安全密钥的支持,以代替另外两种双因素身份认证选项(短信 / 验证器 App)。尽管硬件密钥小巧得可以轻松挂在钥匙圈上,但仅限于 Web 登录的功能,也给移动设备用户造成了巨大的不便。好消息是,Twitter 周三表示,基于硬件安全密钥保护的账户,现在也可从 iPhone / Android 设备上登录。
硬件双因素认证需要用户在登录时插入密钥,即便被攻击者知晓了用户名和密码,这套方案也能够努力避免账户被黑客入侵。
然而此前的技术限制,意味着这类账户使用者只能从计算机端登录,而无法使用更加便捷的移动设备。
微软推出 Pluton 安全处理器 携手 AMD 、英特尔、高通构建统一体系
提升计算机和网络安全性的一个主要原则,就是尽可能减少系统中可被攻击入侵的位面。此外在虚拟化的处理上,也需要结合软硬件的附加安全层,辅以全面的检测与保护特性。为了打造一个更加统一的体系,微软想到了为 Windows 搭配 Pluton 安全处理器,并且向 AMD、英特尔和高通伸出了橄榄枝。
据悉,在 Xbox 主机和 Azure Sphere 生态系统中率先得到应用的 Pluton 安全处理器,可实现类似于可信平台模块(TPM)的全栈芯片到云安全特性。
过去十多年时间里,TPM 一直是服务器安全性的一个重要组成部分,为安全密钥和其它验证系统完整性的元数据提供了物理存储空间。
Twitter 任命著名黑客“Mudge”为安全主管
据路透社消息,在监管威胁加剧和严重安全漏洞的困扰下,社交媒体巨头Twitter正在任命世界上最知名的黑客之一来解决从工程失误到错误信息的一切问题。该公司周一任命Peiter Zatko(因其黑客账号Mudge而广为人知)担任新的安全主管一职,赋予他广泛的授权,对结构和做法提出改革建议。Zatko向Twitter首席执行官杰克·多西负责,预计在经过45到60天的审查后,他将接管关键安全职能的管理。
Zatko在接受专访时表示,他将审查 “信息安全、网站完整性、物理安全、平台完整性–开始触及平台的滥用和操纵–以及工程”。
Microsoft Defender 网络保护功能即将登陆 macOS 平台
Microsoft Defender Advanced Threat Protection 是微软提供的终端安全平台,可以帮助企业预防、检测、调查和应对高级威胁。微软近日确认,将把网络保护功能带到 MacOS 上(适用于 macOS ver 10.15.4 及更高版本)。
网络保护(Network Protection)有助于减少设备受到网络攻击事件的影响,它可以防止员工使用任何应用程序访问危险的域,这些域可能承载着互联网上的钓鱼诈骗、漏洞和其他恶意内容。
卡巴斯基曝光针对 Linux 平台的 RansonEXX 勒索软件
安全企业卡巴斯基今日曝光了一款针对 Linux 平台的 RansomEXX 勒索软件,其标志着肆虐 Windows 平台的勒索软件变种首次波及 Linux 平台。自今年 6 月被发现以来,RansomEXX 勒索软件的受害者,已包括德州交通部、柯尼卡美能达、美政府承包商 Tyler Technologies、蒙特利尔公共交通系统、以及近日躺枪的巴西法院系统。
(来自:Kaspersky)
RansonEXX 之类的恶意软件,又被许多研究人员称作“大猎手”或“有人运作的勒索软件”,特点是专门针对“难以承受停机风险”的企业和政府机构。
微软准备让存在漏洞的 Windows 10 Build 1809 寿终正寝
按照今年早些时候更新的生命周期,微软正准备退役另一个Windows 10版本, 它是Windows 10 Build 1809,或者说2018年10月更新,一直是微软桌面操作系统最具争议的功能更新之一,许多人实际上将其描述为该公司迄今为止最大的失败。
而这一切都是因为2018年10月更新出厂时存在一个重大的bug,有可能导致某些存储在库中的用户文件被删除,这一切都因为微软在向生产设备推出新版本之前实际上没有解决这个问题。这家软件巨头最终决定暂时撤下该更新,只是在大约一个月后重新发布了该更新,并出现了其他错误。
谷歌 Project Zero 团队披露了 GitHub Actions 中存在的严重安全漏洞
过去几年,谷歌 Project Zero 团队已经披露过影响 Windows 10、macOS、iOS 等平台的严重安全漏洞。通常情况下,受影响的机构将有 90 天的时间来筹备修复,然后相关漏洞详情才会被公开披露。最新消息是,谷歌 Project Zero 团队刚刚披露了影响 GitHub 开源代码托管平台的一个“高度严重”的安全漏洞。
据悉,问题源于 GitHub Actions 中的工作流命令极易受到注入攻击。而所谓的 Actions,主要负责与“动作执行器”(Action Runner)之间的通信工作。
WeWork 被曝使用简单密码 引起安全隐患
被诸多 WeWork 员工用于访问打印机设置的共享账户使用了非常简单的密码,以至于他们的客户都猜出来了。在伦敦 WeWork 办公的 Jake Elsley 表示之所以能发现这个密码,是因为他所在地区的 WeWork 员工在办公之后没有及时登出而发现的。
像 Elsley 这样的客户会被分配到一个七位数的用户名称和四位数的密码,用于在 WeWrok 办公场所打印密码。但是,WeWork 的员工所使用的用户名称是“9999”四位数,然后 Elsley 猜测使用了和用户名称相同的密码,随后他们成功以 9999 作为账号和密码登录。
17 款感染恶意软件的 Google Play 商店应用被强制删除
本周谷歌从官方Play Store删除了17款Android应用程序。据来自Zscaler的安全研究人员Viral Gandhi称,这17个应用程序全部感染了Joker(又名Bread)恶意软件。他说:“这个间谍软件旨在窃取短信、联系人名单和设备信息,同时,也在悄悄地为受害者注册高级无线应用协议(WAP)服务”。
微软建议用户尽快安装更新 免遭 Zerologon 漏洞攻击
微软表示,目前仍然有黑客利用Netlogon远程协议中的Zerologon漏洞(CVE-2020-1472)来入侵未安装安全性更新的计算机。虽然微软在8月份时已经推出了一连串的安全更新来解决这个漏洞,但是有不少用户,特别是企业用户依然没有更新他们的Windows服务器设备,使得他们继续暴露在提升特权攻击的危险中。
在面对没有安装安全性更新的系统时,攻击者可以利用Zerologon漏洞来骗过域账号,并且以此来窃取域名的敏感讯息甚至接管整个域的控制。
黑客攻破芬兰心理治疗公司 Vastaamo 并公布数百人的健康数据
据外媒报道,当地时间上周五,有关一群黑客勒索一家为公共卫生系统提供心理治疗服务的私人公司的丑闻结果令芬兰人震惊。在一个号称在数字化和数据安全方面处于领先地位的国家,犯罪分子在检测到Vastaamo公司系统中的漏洞后成功访问了该公司数千名客户的数据库。
根据Vastaamo网站介绍,该公司为抑郁症和焦虑症患者提供心理和精神治疗。许多客户来自由Finnish Social Security (Kela)支付的公共服务部门。
据悉,勒索者索要约45万欧元(以比特币形式支付)以换取不公布数千人的临床和心理健康数据。
而在两日前,犯罪分子开始在加密网络Tor上发布数据,每天发布100个人。
在线游戏 Street Mobster 存在严重漏洞, 190 万个用户信息造泄露
研究人员发现大型在线游戏Street Mobster存在一个严重漏洞。该漏洞可能导致玩家用户名、电子邮件地址和密码以及存储在数据库中相关数据被破坏。
Street Mobster是一种免费在线游戏,玩家在其中管理虚拟犯罪活动。该游戏储存了190多万玩家用户的数据,黑客通过在游戏网站上利用漏洞攻击该数据库。
Street Mobster中的SQLi漏洞可能破坏玩家用户名、电子邮件地址和密码以及其他相关数据的记录。
幸运的是,在向Big Mage Studios,CERT Bulgaria和保加利亚数据保护机构报告了此漏洞之后,开发人员就及时解决了该问题,因此黑客被禁止访问该数据库。
现代罗宾汉?黑客组织向慈善机构捐赠价值 1 万美元的比特币
据外媒报道,没有一家慈善机构愿意拒绝捐款尤其是在资金短缺的情况下。但如果捐款来自一个令人惊讶的来源–黑客呢?虽然这听起来像是现代版的罗宾汉–通过电子手段盗取公司的资金然后通过比特币将其数字化返还给慈善机构–但当这些资金来自犯罪收益时,法律做出了明确规定:必须拒绝。
当这个慈善机构不知道钱是谁捐的、钱是从谁那里被偷的也不知道如何归还的时候又该怎么做呢?
上周,网络犯罪集团Darkside就将两家美国慈善机构置于了这样一个不幸的境地。
乌克兰断电事件、NotPetya 爆发、平昌冬奥会网络暗战的幕后主使名单
近日,美国司法部对六名GRU(俄罗斯军事情报局)74455部门官员发起了起诉,指控他们是黑客组织Sandworm的成员。
美国官员表示,作为“国家赞助”的黑客组织,这6名成员在俄罗斯政府的命令下进行了“破坏性”网络攻击,目的是破坏其他国家的稳定,干涉他国政治并造成破坏和直接金钱损失。
相关攻击长达十年,包括迄今为止已知的一些大型网络攻击:
乌克兰断电:从2015年12月到2016年12月,Sandworm组织使用针对工业设备的恶意软件,精心策划了针对乌克兰电网、乌克兰财政部的破坏性恶意软件攻击。
黑帝公告 📢
❤永久免费、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤